Подключение Microsoft Sentinel к Amazon Web Services для приема данных журнала службы AWS

Соединитель журналов служб Amazon Web Services (AWS) доступен в двух версиях: устаревший соединитель для управления CloudTrail и журналов данных, и новая версия, которая может принимать журналы из следующих служб AWS, извлекая их из контейнера S3 (ссылки на документацию AWS):

На этой вкладке объясняется, как настроить соединитель AWS S3 с помощью одного из двух методов:

Предварительные условия

Автоматическая настройка

Чтобы упростить процесс подключения, Microsoft Sentinel предоставил скрипт PowerShell для автоматизации настройки на стороне AWS соединителя — необходимых ресурсов AWS, учетных данных и разрешений AWS.

Скрипт:

  • Создает поставщик веб-удостоверений OIDC для проверки подлинности Microsoft Entra ID пользователей в AWS. Если поставщик веб-удостоверений уже существует, скрипт добавляет Microsoft Sentinel в качестве аудитории к существующему поставщику.

  • Создает роль IAM с минимальными необходимыми разрешениями, чтобы предоставить пользователям, прошедшим проверку подлинности OIDC, доступ к журналам в заданном контейнере S3 и очереди SQS.

  • Позволяет указанным службам AWS отправлять журналы в этот контейнер S3, а уведомления — в очередь SQS.

  • При необходимости для этой цели создается контейнер S3 и очередь SQS.

  • Настраивает все необходимые политики разрешений IAM и применяет их к созданной выше роли IAM.

Для Azure для государственных организаций облаков специализированный скрипт создает другой поставщик веб-удостоверений OIDC, которому назначается роль IAM.

Инструкции

Чтобы запустить скрипт для настройки соединителя, выполните следующие действия.

  1. В меню навигации Microsoft Sentinel выберите Соединители данных.

  2. Выберите Amazon Web Services S3 из коллекции соединителей данных.

    Если соединитель не отображается, установите решение Amazon Web Services из Центра содержимого в Microsoft Sentinel.

  3. В области сведений для соединителя выберите Открыть страницу соединителя.

  4. В разделе Конфигурация под 1. Настройте среду AWS, разверните раздел Настройка с помощью скрипта PowerShell (рекомендуется).

  5. Следуйте инструкциям на экране, чтобы скачать и извлечь сценарий установки AWS S3 (по ссылке скачивает ZIP-файл, содержащий основной скрипт установки и вспомогательные скрипты) со страницы соединителя.

    Примечание.

    Для приема журналов AWS в облако Azure для государственных организаций скачайте и извлеките этот специализированный сценарий установки AWS S3 Gov.

  6. Перед выполнением скрипта выполните команду из командной aws configure строки PowerShell и введите соответствующие сведения в соответствии с запросом. См . интерфейс командной строки AWS | Сведения об основах конфигурации (из документации AWS).

  7. Теперь запустите скрипт. Скопируйте команду со страницы соединителя (в разделе "Запуск скрипта для настройки среды") и вставьте ее в командную строку.

  8. Сценарий предложит ввести идентификатор рабочей области. Этот идентификатор отображается на странице соединителя. Скопируйте его и вставьте в командной строке скрипта.

    Снимок экрана: команда для запуска скрипта установки и идентификатор рабочей области.

  9. Когда скрипт завершит выполнение, скопируйте ARN роли и URL-адрес SQS из выходных данных скрипта (см. пример на первом снимке экрана ниже) и вставьте их в соответствующие поля на странице соединителя в разделе 2. Добавьте подключение (см. второй снимок экрана ниже).

    Снимок экрана: выходные данные сценария установки соединителя A W S.

    Снимок экрана: вставка сведений о роли A W S из скрипта в соединитель S3.

  10. Выберите тип данных в раскрывающемся списке Целевая таблица . Это сообщает соединителю о том, какие журналы службы AWS устанавливает это подключение для сбора и в какой таблице Log Analytics хранятся данные приема. Затем выберите Добавить подключение.

Примечание.

Выполнение скрипта может занять до 30 минут.

Настройка вручную

Для развертывания этого соединителя рекомендуется использовать скрипт автоматической настройки. Если по какой-либо причине вы не хотите воспользоваться этим удобством, выполните приведенные ниже действия, чтобы настроить соединитель вручную.

  1. Настройте среду AWS, как описано в статье Настройка среды Amazon Web Services для сбора журналов AWS для Microsoft Sentinel.

  2. В консоли AWS:

    1. Введите службу Управления удостоверениями и доступом (IAM) и перейдите к списку Ролей. Выберите созданную ранее роль.

    2. Скопируйте ARN в буфер обмена.

    3. Введите службу простых очередей, выберите созданную очередь SQS и скопируйте URL-адрес очереди в буфер обмена.

  3. В Microsoft Sentinel выберите Соединители данных в меню навигации.

  4. Выберите Amazon Web Services S3 из коллекции соединителей данных.

    Если соединитель не отображается, установите решение Amazon Web Services из Центра содержимого в Microsoft Sentinel. Дополнительные сведения см. в статье Обнаружение и управление Microsoft Sentinel готового содержимого.

  5. В области сведений для соединителя выберите Открыть страницу соединителя.

  6. Под 2. Добавить подключение:

    1. Вставьте ARN роли IAM, скопированную ранее два шага, в поле Роль для добавления .
    2. Вставьте URL-адрес очереди SQS, скопированной на последнем шаге, в поле URL-адрес SQS .
    3. Выберите тип данных в раскрывающемся списке Целевая таблица . Это сообщает соединителю о том, какие журналы службы AWS устанавливает это подключение для сбора и в какой таблице Log Analytics хранятся данные приема.
    4. Выберите Добавить подключение.

    Снимок экрана: добавление подключения к роли A W S к соединителю S3.

Известные проблемы и устранение неполадок

Известные проблемы

  • Журналы разных типов могут храниться в одном контейнере S3, но не должны храниться в одном пути.

  • Каждая очередь SQS должна указывать на один тип сообщения. Если вы хотите принимать результаты GuardDuty и журналы потоков VPC, настройте отдельные очереди для каждого типа.

  • Одна очередь SQS может обслуживать только один путь в контейнере S3. Если журналы хранятся в нескольких путях, для каждого пути требуется собственная выделенная очередь SQS.

Устранение неполадок

Узнайте, как устранять неполадки с соединителем Amazon Web Services S3.

Отправка форматированных событий CloudWatch в S3 с помощью лямбда-функции (необязательно)

Если журналы CloudWatch не поддерживают формат, принятый Microsoft Sentinel ( .csv файл в формате GZIP без заголовка), используйте лямбда-функцию просмотра исходного кода в AWS для отправки событий CloudWatch в контейнер S3 в принятом формате.

Лямбда-функция использует среду выполнения Python 3.12 и архитектуру x86_64.

Чтобы развернуть лямбда-функцию, выполните следующие действия:

  1. В консоли управления AWS выберите лямбда-службу.

  2. Выберите Создать функцию.

    Снимок экрана: экран сведений

  3. Введите имя функции и выберите Python 3.12 в качестве среды выполнения и x86_64 в качестве архитектуры.

  4. Выберите Создать функцию.

  5. В разделе Выберите слой выберите слой и нажмите кнопку Добавить.

    Снимок экрана: экран добавления слоя консоли управления AWS.

  6. Выберите Разрешения и в разделе Роль выполнения выберите Имя роли.

  7. В разделе Политики разрешений выберите Добавить разрешения>Присоединить политики.

    Снимок экрана: вкладка

  8. Найдите политики AmazonS3FullAccess и CloudWatchLogsReadOnlyAccess и подключите их.

    Снимок экрана: экран

  9. Вернитесь к функции, выберите Код и вставьте ссылку на код в разделе Источник кода.

  10. Значения по умолчанию для параметров задаются с помощью переменных среды. При необходимости эти значения можно настроить вручную непосредственно в коде.

  11. Выберите Развернуть, а затем — Тест.

  12. Создайте событие, заполнив обязательные поля.

    Снимок экрана: экран тестового события настройки управления AWS.

  13. Выберите Тестировать , чтобы увидеть, как событие отображается в контейнере S3.

Дальнейшие действия

В этом документе вы узнали, как подключаться к ресурсам AWS, чтобы принимать их журналы в Microsoft Sentinel. Дополнительные сведения о Microsoft Sentinel см. в следующих статьях: